【天穹】压缩包也能“越狱”?天穹沙箱新增目录穿越检测能力
在 Windows 系统中,压缩包(如 RAR、ZIP、7z 等)作为常见的文件分发载体,因其便捷性和通用性被广泛使用。然而,攻击者常利用压缩软件的目录穿越漏洞(如 CVE-2025-8088),通过构造恶意压缩包将恶意载荷写入系统关键路径(如启动项、系统目录等),实现持久化驻留或提权执行。此类攻击隐蔽性强、危害大,且传统静态检测难以有效识别。
天穹沙箱
【天穹】天穹沙箱推出全新脚本执行追踪功能
在Windows环境中,脚本类型样本层出不穷,恶意软件样本中采用脚本语言编写的比例日渐攀升,利用混淆技术加固自身的脚本样本更是难以分析。为缓解这一难题,天穹沙箱更新并引入了一项强大的脚本执行追踪功能,该功能可精准捕获脚本的执行过程,使沙箱在分析过程中能够更全面地检出恶意脚本样本。这一技术的引入,也助力安全人员的分析工作更为便捷高效。
【天穹】Linux后门Xnote家族的新变种:FZX
近日,天穹沙箱团队捕获了一个名为“top.386-32.elf”的样本,经过初步分析,该样本是一个具有感染性的后门,其采用了53端口与C2通信。该样本是2024年8月1日出现的新型样本家族,因其多处用到“FZX”字符串,故将其定为“FZX家族”。该家族目前还在不停的迭代更新。本次我们以该样本为案例,向大家展示如何结合天穹沙箱来分析样本,如何理解天穹沙箱的分析结果报告。
【天穹】Linux内核劫持:深入分析内核rootkit入侵威胁
Linux内核级rootkit技术是一种极为高级的黑客攻击技术,它能够打破Linux系统的安全防御,实现对系统和用户的完全控制。相较于用户态rootkit,内核级的rootkit在操作系统内核层进行操控,更难被发现。一旦成功安装,rootkit就可以在操作系统内核中运行,更加持久和难以清除,并且由于存在于内核级别,它能够篡改内存数据和内核模块,控制权更高,危害更大。